Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Första GDPR-rapporten

Efter första året med GDPR visar Datainspektionens rapport om anmälda personuppgiftsincidenter på en gemensam säkerhetsrisk i alla organisationer. Av de 2 262 anmälningar som gjorts ligger den mänskliga faktorn bakom mer än 60 procent.

Text anne hammarskjöld Foto adobestock 5 mars 2019 säkerhet

myller-av-ansikten.jpg

Samtidigt med GDPR infördes en skyldighet för organisationer som behandlar personuppgifter att rapportera så kallade personuppgiftsincidenter till Datainspektionen. Sedan den 1 augusti har brottsbekämpande myndigheter motsvarande anmälningsskyldighet.

Anmälningsskyldigheten höjde kraven på alla verksamheter att ha rutiner på plats för att kunna upptäcka, rapportera och utreda incidenter. Målet är att höja integritetsskyddet. Datainspektionens rapport för perioden 25 maj-31 december 2018 visar att den absoluta merparten anmälningar gjordes utifrån GDPR, färre än tio gjordes utifrån brottsdatalagen.

Försäkringsbranschen i topp

En anmäld incident kan till exempel handla om att personuppgifter har blivit förstörda eller ändrade, gått förlorade eller kommit i orätta händer. En sådan händelse kan innebära risker för identitetsstöld, bedrägeri, finansiell förlust, diskriminering eller skadlig ryktesspridning.

Att en organisation eller en bransch anmäler många personuppgiftsincidenter behöver inte vara en indikation på bristande säkerhet enligt rapporten. I vissa fall kan det tvärtom tyda på att verksamheten har rutiner som ger en god förmåga att upptäcka och rapportera personuppgiftsincidenter.

  • En fjärdedel av alla incidentanmälningar kom från verksamheter inom den finansiella sektorn eller försäkringsbranschen.
  • Myndigheter och kommuner står tillsammans för 23 procent av anmälningarna, det vill säga ungefär en fjärdedel.
  • Anmälningar från hälso- och sjukvård, skola och socialtjänst utgör tillsammans 23 procent.
  • Därutöver står näringslivet i övrigt för 19 procent.

Vanliga incidenter

Den största delen anmälda incidenter, 42 procent, avser obehörigt röjande i form av felaktiga brevutskick, det vill säga brev eller e-post som innehåller personuppgifter och oavsiktligt hamnat hos fel mottagare.

För omkring 100 incidenter gör Datainspektionen en fördjupad bedömning.

Datainspektionen

Obehörig åtkomst är den näst största kategorin och står för 23 procent. Här är ett vanligt exempel att någon olovligen berett sig tillgång till personuppgifter, till exempel genom att behörigheter till ett it-system har tilldelats felaktigt eller för generellt.

Obehörigt röjande rör 20 procent av anmälningarna och innebär att personuppgifter kommit till obehörigas kännedom. Till exempel har mottagare av ett e-postmeddelande med känslig information kunnat se hela sändlistan.

Kategorierna stöld, förlust och phishing omfattar 13 procent av de anmälda incidenterna. Några exempel är tjänstedatorer som glömts i kollektivtrafiken, att organisationen haft inbrott eller varit utsatta för phishing, malware eller hacking. Även om dessa incidenter är förhållandevis få berör de större grupper av registrerade.

Vanliga orsaker

Drygt sextio procent av de anmälda personuppgiftsincidenterna berodde på den mänskliga faktorn. Vanliga orsaker är att individer gjort misstag vid hantering av personuppgifter och det handlar i första hand om felskickade brev och e-postmeddelanden.

Öppna inte länkar eller bifogade filer från okända avsändare.

Datainspektionen

Antagonistiska angrepp står för ungefär var sjunde anmälan. Totalt handlar det om drygt 300 av de anmälda incidenterna som primärt rör stölder och phishing.

Närmare en av tio anmälningar handlar också om brister i organisatoriska rutiner eller processer.

Datainspektionens rekommendationer

Utifrån de anmälningar som gjorts ger Datainspektionen några generella rekommendationer som kan bidra till att förebygga incidenter och mildra konsekvenserna om något ändå inträffar.

  • Kontrollera alltid att korrekt mottagare är angiven innan ett brev eller e-post skickas ut, använd funktionen dold kopia, bcc, vid utskick till flera mottagare, samt använd e-post som är skyddad med kryptering vid utskick av känsliga eller integritetskänsliga uppgifter.
  • Kryptera personuppgifter som lagras på usb-minnen, bärbara datorer eller andra flyttbara media som lätta att stjäla eller tappa bort.
  • Påminn medarbetarna om att inte öppna länkar eller bifogade filer från okända avsändare.
  • En central del i arbetet med informationssäkerhet och dataskydd handlar om behörighetsstyrning. Alla organisationer som hanterar personuppgifter behöver ha stabila rutiner för att säkerställa att behörigheter tilldelas korrekt, att behörigheterna löpande kontrolleras och följs upp samt att åtkomstkontroller genomförs.
  • Datainspektionen betonar att den stora andelen incidenter som uppges bero på den mänskliga faktorn bekräftar betydelsen av att styrdokument och tekniska informationssäkerhetsåtgärder kompletteras med löpande utbildning och andra åtgärder för att öka kunskapen och medvetenheten hos personalen.

Merparten utan åtgärd

Datainspektionen bedömer att merparten av de incidentanmälningar som inkommit under 2018 kommer att avslutas utan ytterligare åtgärd. Hittills gäller det cirka 600 anmälningar.  

För de omkring 100 incidenter som bedöms som mer allvarliga gör Datainspektionen en fördjupad bedömning och handläggningen pågår.

Senaste nytt

Smart industri på schemat

17 maj 2019

Våren 2020 startar den största företagsforskarskolan i Sverige inom området smart industri. Initiativet riktar sig till företag som vill stärka sin konkurrenskraft med ny kompetens kopplad till smart industri.

Ny grön flygtaxi

17 maj 2019

Den tyska startupen Lilium har tagit fram en elektrisk jetdriven lufttaxi som får plats med fem personer. Fordonet har precis tagit sin första färd och kan köra i 300 kilometer i timmen. 

Rise driver skolans IoT

16 maj 2019

IoT hubb skola är ett samarbete mellan Rise, nio skolhuvudmän, två teknikpartners och Stockholms universitet. Projektet ska öka förståelsen för hur IoT kan användas för att samla data som på olika sätt utvecklar skolan som en god lärmiljö.

Första bilen med solceller

16 maj 2019

Lagom till midsommar lanseras världens första solcellsdrivna passagerarbil. Batteriet har en räckvidd på mellan 600 och 800 kilometer beroende på användning. Det holländska företaget Lightyear lovar att detta är lösningen på räckvidd och laddning, två av de största utmaningarna för elbilar.

S cybersäkrar EU

15 maj 2019

Inför Europaparlamentsvalet föreslår Socialdemokraterna ett cybersäkerhetscenter på EU-nivå. Detta skulle kunna göra unionen bättre på att stå upp emot attacker, göra riskbedömningar och hjälpa företag och privatpersoner i hur man kan försvara sig, menar partiet.

Hudnära sensor

15 maj 2019

I hela världen arbetar forskare inom robotik för att ta fram flexibel och töjbar elektronisk hud med någon form av känsel för proteser och för hälsoövervakning. Nu har forskare vid Linköpings universitet utvecklat en sensor som kan mäta kroppstemperaturen och känna varm beröring.